Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorPar la force ou par la raison ? Pour l’audit interne, la question ne devrait même pas se poser

Par la force ou par la raison ? Pour l’audit interne, la question ne devrait même pas se poser

Je ne compte plus le nombre de fois dans ma carrière où j'ai entendu quelqu'un qualifier les auditeurs internes de « police de l’entreprise ». Ils se cachent derrière les bosquets avec leur fameux radar en attendant qu’un responsable, ou tout autre collaborateur, de l’organisation commette une infraction. Cette vision est regrettable, étant donné que les auditeurs internes peuvent être beaucoup plus efficaces et valorisés lorsqu'ils ne sont pas perçus comme les « flics » de l'organisation.

Il est certain que le cœur de notre mission est de donner une assurance sur l'efficacité des dispositifs de contrôles internes. Si ces derniers sont inefficaces ou inexistants, ou s’ils peuvent être contournés, intentionnellement ou non, alors ils présentent des risques pour l'organisation. Nous avons l'obligation de mettre en évidence ces risques dans le cadre de nos travaux d’audit. Dans de nombreux cas, cela peut consister à identifier les responsables qui « n'ont pas fait leur travail » et ce sont ces scénarios particuliers, je crois, qui nous donnent mauvaise réputation.

Nous sommes souvent comparés à la « police » en raison de la façon dont nous communiquons nos reportings, et non de leur contenu. J'ai largement écrit sur l'utilisation d'un ton adapté dans nos communications et sur la nécessité d'exposer les conclusions dans le contexte adéquat. En 2017, j'ai de nouveau partagé l’un de mes articles de blog qui avait rencontré un franc succès : Dix choses à ne pas dire dans un rapport d'audit interne. Au moins quatre des pratiques que j'ai déconseillées dans cet article sont courantes dans les rapports des services d'audit « policiers » :

  1. Utiliser les adverbes de degré avec parcimonie. Les adverbes de degré nous mènent à des questions comme « "significatif" par rapport à quoi ? » et « "clairement" selon les critères de quelle personne ? » Si vous utilisez librement ces adverbes, deux lecteurs d'un même rapport peuvent avoir des impressions très différentes. Des données factuelles, comme un pourcentage ou un montant précis, donneront une idée de la situation, mais qu'entend-on par « très important » ?
  2. Éviter la quête du blâme. La finalité des rapports d'audits internes est d'apporter des changements positifs et non de dénoncer des fautifs. Nous avons plus de chances de fédérer au sein de l’entreprise lorsque nos rapports sont neutres et non conflictuels. L'objectif est de trouver la cause première, et non d’attribuer le blâme. Un rapport peut indiquer en toute légitimité qui est responsable de la mise en œuvre d'une recommandation, mais il ne doit pas dire « C'était la faute de Fred ».
  3. Ne pas parler « d'échec de la direction ». Affirmer que la direction a manqué à la mise en place de dispositifs de contrôle adéquats ne peut que générer l’agacement de ceux-là même à qui l'on demande de prendre des mesures correctives. Le simple fait de décrire la situation sans incriminer les parties concernées avec des mots comme « échec » est beaucoup plus susceptible de se traduire par la mise en œuvre des mesures correctives nécessaires et d'aider à préserver notre relation avec la direction lors de notre prochain audit dans son domaine.
  4. Évitez de vous attribuer les lauriers. La tentation est grande dans les rapports d'audit d'utiliser des tournures comme « l'audit interne a constaté » ou « nous avons constaté ». La direction sera souvent irritée si vous vous attribuez le mérite d'avoir identifié quelque chose qui n'était pas vraiment dissimulé au départ. C’est un peu comme si vous les aviez renversés en voiture et que vous aviez fait marche arrière ensuite.

Bien que la protection de nos organisations contre les défaillances en matière de contrôle et de management des risques fasse partie intégrante de notre mission, ce n’est pas en nous comportant en policiers pour protéger la valeur organisationnelle que nous exploiterons tout notre potentiel. Pour véritablement gagner et garder la confiance de ceux que nous servons, nous devons également nous efforcer d'accroître la valeur. En effet, la vision stratégique actuelle de l'IIA vise à « permettre aux professionnels d'être reconnus comme essentiels à l'amélioration et à la protection de la valeur organisationnelle ».

Les auditeurs internes peuvent améliorer la valeur organisationnelle de bien des façons, et très peu d'entre elles sont coercitives. Je crois que c'est en proposant un éclairage raisonné sur les choses que nous offrons la plus grande valeur à ceux que nous servons. Et en mettant en lumière les risques et les opportunités, nous permettons à nos organisations de mieux cheminer sur la route sinueuse des risques qui se profilent souvent à l'horizon. L'identification des nouveaux risques et la vision prospective dont je parle si souvent nous permettront d'être une ressource importante pour nos directions générales et nos conseils d'administration.

J'ai d'abord étudié le concept de vision prospective par les auditeurs internes dans un article de blog en 2015. Voilà ce que j'ai observé :

Pour les auditeurs internes, la vision prospective est la capacité d'envisager les principaux risques et défis auxquels nos organisations sont susceptibles d'être confrontées, afin qu’ils puissent partager ces perspectives avec la direction et le conseil d’administration. Nous aidons ainsi nos clients à se préparer aux défis ou aux opportunités avant même qu’ils ne se concrétisent. La vision prospective nous permet de détecter les catastrophes imminentes qui pourraient survenir au sein de nos organisations si la direction ne tient pas compte des risques stratégiques ou commerciaux. Par exemple, une vision prospective aurait pu sauver Kodak, Blockbuster ou Lehman Brothers. Bien entendu, la direction pourrait choisir d'ignorer la vision proposée par les auditeurs internes. Mais au moins l’alerte aura été donnée.

Dans un article de blog de 2017, j'ai exploré plus en profondeur le concept de vision prospective, et j'ai partagé un article de Daniel A. Clark que nos collègues de Galvanize avaient déjà publié. Son article présentait un plan en cinq étapes pour les auditeurs internes pour fournir une meilleure vision prospective :

Étape 1 : Améliorez votre capacité à fournir une analyse de la situation présente. Comprendre la nature des faits aide à mieux appréhender les aspects prévisibles des comportements. Si vous n'avez pas une vision claire de la situation actuelle, entourez-vous de personnes qui peuvent vous aider à la comprendre par leur expérience. Cela réduira de moitié votre propre temps d'apprentissage et vous serez prêts plus rapidement à aborder le futur.

Étape 2 : Comprendre l'environnement évolutif. Des indicateurs provenant de l'environnement ouvrent un champ des possibles que votre compréhension de la situation réduira en une série de probabilités. Souvenez-vous toujours que l'environnement inclut votre équipe, votre organisation, votre région, votre secteur d'activité et la planète entière. Des événements qui ont lieu à l'échelle mondiale peuvent tout de même avoir un impact sur des banques régionales ou locales, par exemple. Ne dévalorisez pas vos travaux en omettant cette dimension.

Étape 3 : L'analyse de données est primordiale ! Passez à l'audit fondé sur l'analyse de données aussi vite que possible. Formez-vous et votre équipe sur les principes de l'analyse, de l'interprétation et de la gestion des données.

Étape 4 : Ayez connaissance des décisions stratégiques prises par vos parties prenantes internes et de leurs hypothèses. Cela vous donnera le contexte général déterminant l'éventualité et le sens de vos discussions. Si vous faîtes le lien entre votre analyse prospective et leur stratégie, ce que vous direz aura plus de sens pour eux et ils écouteront plus attentivement vos suggestions.

Étape 5 : Enfin, prenez position. Prenez une décision basée sur les informations que vous aurez recueillies. Vous pouvez déterminer, de manière assez prévisible, ce qui se passera demain si certains événements ne se produisent pas aujourd'hui. Faire part de vos convictions sera la partie difficile du processus, parce que beaucoup de managers n'aiment pas se prononcer avant d'avoir eu la preuve concrète que les événements se sont réellement passés.

En dernière analyse, il ne devrait pas y avoir de dilemme quant à la mission de l'audit interne. Malgré tous nos efforts, il y aura toujours des moments où nous serons perçus comme un organisme « policier ». Cependant, nous ne devrions jamais nous contenter de ce statut de « police de l’entreprise ». Nous devrions plutôt nous efforcer d’apporter de la valeur en éclairant ceux que nous servons avec la vision que nous avons de l’organisation grâce à notre rôle.

Comme toujours, je vous invite à me faire part de vos réflexions.

Communication :
Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, écrit un blog hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l'audit interne.